Cibercriminosos usando exploits de código digital assinados para enganar usuários

Uma exploração de Java assinada foi descoberta segunda-feira em um navegador. Um site pertencente à Chemnitz University of Technology, na Alemanha, foi infectado por um kit de ferramentas de exploração da Web chamado g01pack, disse o pesquisador de segurança Eric Romang em um post no blog. "É definitivamente go01 pack", Jindrich Kubec, diretor de inteligência de ameaças da Avast, vendedor de antivírus, disse por e-mail. O primeiro exemplo dessa exploração assinada do Java foi detectado em 28 de fevereiro, disse ele.

[Leia mais: Como remover malware do seu PC com Windows]

Não ficou claro se essa exploração tem como alvo uma nova vulnerabilidade ou uma falha Java mais antiga que já foi corrigida. A Oracle lançou novas atualizações de segurança Java na segunda-feira para abordar duas vulnerabilidades críticas, uma das quais estava sendo ativamente explorada por invasores.

As explorações de Java foram tradicionalmente entregues como aplicativos da Web Java de applets não assinados. A execução desses applets costumava ser automatizada em versões mais antigas do Java, o que permitia que os hackers iniciassem ataques de download drive-by que eram completamente transparentes para as vítimas.

Configurações de verificação de revogação de certificado no Java 7

do Java 7 Update 11, os controles de segurança padrão para conteúdo Java baseado na Web são definidos como altos, solicitando aos usuários confirmação antes que os applets possam ser executados em navegadores, independentemente de serem assinados digitalmente ou não.

O uso de exploits assinados em unsigned unsigned fornece benefícios para os atacantes, porque os diálogos de confirmação exibidos pelo Java nos dois casos são consideravelmente diferentes. Os diálogos para applets Java não assinados são, na verdade, intitulados “Security Warning.”

A assinatura digital é uma parte importante de garantir aos usuários que eles podem confiar em seu código, disse Bogdan Botezatu, analista sênior de antivírus da Bitdefender. A caixa de diálogo de confirmação exibida para o código assinado é muito mais discreta e menos ameaçadora do que a exibida no caso de código não assinado, disse ele. “Além disso, o próprio Java processa códigos assinados e não assinados de forma diferente e impõe restrições de segurança apropriadamente” disse. Por exemplo, se as configurações de segurança do Java estiverem definidas como "muito altas", os applets não assinados não serão executados, enquanto os applets assinados serão executados se o usuário confirmar a ação. Em ambientes corporativos em que configurações de segurança Java muito altas são impostas, a assinatura de código pode ser a única maneira de os invasores executarem um applet mal-intencionado em um sistema de destino, ele disse

Exemplo de aviso de segurança para o miniaplicativo Java assinado no Java 7 Update 17

Essa nova exploração Java também trouxe à luz o fato de que Java não verifica as revogações de certificados digitais por padrão.

A exploração encontrada pelos pesquisadores na segunda-feira foi assinada com um certificado digital que provavelmente foi roubado. O certificado foi emitido por Go Daddy para uma empresa chamada Clearesult Consulting com sede em Austin, Texas, e foi posteriormente revogada com data de 7 de dezembro de 2012.

Revogações de certificado podem ser aplicadas retroativamente e não está claro quando exatamente Go Daddy sinalizou certificado de revogação. No entanto, em 25 de fevereiro, três dias antes da detecção da amostra mais antiga desse exploit, o certificado já estava listado como revogado na lista de revogação de certificados publicada pela empresa, disse Kubec. Apesar disso, o Java considera o certificado como válido.

Na guia “Avançado” do painel de controle Java, na categoria “Configurações avançadas de segurança”, há duas opções chamadas “Verificar certificados para revogação usando Listas de Revogação de Certificados (CRLs)) ”E“ Ativar validação de certificado online ”- a segunda opção usa o OCSP (Online Certificate Status Protocol). Ambas as opções estão desabilitadas por padrão.

A Oracle não tem nenhum comentário sobre esse problema no momento, disse a agência de relações públicas da Oracle no Reino Unido por email.

“Sacrificar a segurança por conveniência é uma séria falha de segurança, especialmente porque o Java tem sido a peça de terceiros mais direcionada. de software desde novembro de 2012 ”, disse Botezatu. No entanto, a Oracle não está sozinha nisso, disse o pesquisador, observando que a Adobe envia o Adobe Reader 11 com um importante mecanismo de sandbox desativado por padrão por razões de usabilidade.

Tanto a Botezatu quanto a Kubec estão convencidas de que os invasores começarão a usar Java explora para contornar as novas restrições de segurança do Java mais facilmente.

A empresa de segurança Bit9 revelou recentemente que os hackers comprometeram um dos seus certificados digitais e usaram-no para assinar malware. No ano passado, os hackers fizeram o mesmo com um certificado digital comprometido da Adobe.

Esses incidentes e essa nova exploração Java são a prova de que certificados digitais válidos podem acabar assinando códigos maliciosos, disse Botezatu. Neste contexto, a verificação ativa de revogações de certificados é particularmente importante porque é a única redução disponível em caso de comprometimento de certificados, disse ele.

Os usuários que exigem Java em um navegador diariamente devem considerar a possibilidade de habilitar a verificação de revogação de certificado Proteger contra ataques de exploração de certificados roubados, disse Adam Gowdiak, fundador da firma de pesquisa de vulnerabilidades polonesa Security Explorations, por e-mail. Pesquisadores da Security Explorations encontraram e reportaram mais de 50 vulnerabilidades de Java no ano passado.

Embora os usuários devam habilitar manualmente essas opções de revogação de certificados, muitos deles provavelmente não farão isso, considerando que nem instalam atualizações de segurança, disse Kubec.. O pesquisador espera que o Oracle ligue o recurso automaticamente em uma atualização futura.